Když jste si přečetl o „hacknutí“ e-mailové schránky premiéra na freemailovém Seznamu a s údajně pofidérním heslem, co jste si říkal? Kde došlo k zanedbání? Bezpečnostní experti se vesměs podivují tomu, že Sobotka používal ve velké politice na velká témata soukromý e-mail…
Tak IT oddělení, které má na starosti vládní činitele, má určitě vypracován koncept, terminologicky se tomu říká „bezpečnostní politika“ nebo „bezpečnostní strategie IT“.
Takovou strategii jsem kupříkladu ve své praxi připravoval i pro malé firmy o 20 zaměstnancích, velké korporace ji mají, není tedy důvodu se obávat, že by vládní sektor něco takového, tj. technologické zabezpečení věci a pokyny pro pracovníky včetně školení, neměl.
Ale dostaňme se k podstatě věci. Pan Sobotka určitě takovými školeními musel projít a také na to není třeba přílišných intelektuálních schopností, aby pochopil, že do jeho oficiálního poštovního účtu, státního, hypoteticky může někdo nahlédnout. Tudíž své lumpárny na národ nechtěl ventilovat skrze oficiální e-mail, proto si zřídil soukromou poštovní schránku na seznam.cz pro tyto účely. Ve své aroganci ale netušil, co dělá a že se dal napospas lidem s důvtipem, díky kterým teď už snad národ procitne a pochopí, komu svěřil svůj život do rukou.
Ministr vnitra Chovanec uvedl, že útok hackerů byl sofistikovaný a bude složité vypátrat pachatale. S tím byste souhlasil?
Pan ministr Chovanec je další z „blanických rytířů“, který je charakteristický tím, že neví, o čem mluví. V tomto případě má ovšem zcela výjimečně pravdu. Technicky vzato bych řekl, že i adolescent, který od „atomu“ pochopí, co je to internet, by zamaskování takového počinu zvládl. Stačí si jen uvědomit, co mě může demaskovat. Tím, co demaskuje člověka, je neopatrnost formou kompromitace IP adresy, ze které operuje.
K takovému zamaskování si stačí stáhnout kupříkladu Tor Browser, což je kombinace internetového prohlížeče Firefox s klientem do anonymizační sítě Tor. Tato síť je v současnosti zpochybňována co do anonymity, ovšem důvtip programátorů co do anonymizace jde v současnosti ku tvorbě tak sofistikovaných řešení, kdy jsou informace nejenže šifrované, ale promíchávají se do datového šumu natolik, že vládní garnitury prostě nebudou mít šanci nějaké cenzury nebo odchytu lidí.
Samozřejmě že tyto technologické vymoženosti mohou zneužívat darebáci. Ti ovšem své lumpárny budou páchat i bez nich. Důležité pro slušného občana je fakt, že internet opravdu nepůjde cenzurovat a že bude platformou, kudy se k němu dostane pravda o tom, co se děje nebo co se na něj připravuje.
Mocipáni na celém světě si tuto sílu internetu již dozajista uvědomují, proto očekávejme mohutné kampaně proti hackerům a proti těmto anonymizujícím technologiím, a to s kladením důrazu zájmu o bezpečí občana. Je to ovšem stejné klišé a lumpárna, jako když někde nějaký pomatenec střílí a vládní aparát se toho okamžitě chytne a znova a znova bude zkoušet odzbrojit národ, aby si jej mohl podrobit.
Kdybyste byl poradcem premiéra, jaké kroky byste v oblasti IT udělal či premiérovi doporučil, aby se úspěch útoků na e-mail, Facebook, Twitter a další komunikační kanály předsedy vlády co nejvíce eliminoval?
Víte, se svým letitým know-how bych se při vší pokoře a skromnosti mohl označit za tzv. geeka. Bezesporu bych se dokázal postarat o to, aby měl premiér vše zamaskované, ale coby geek – volnomyšlenkář musím konstatovat: Tak jak mi moje vnitřní etika zabraňuje zneužít své obrovské technologické síly proti slušným a bezbranným laikům, stejná etika, mé vnitřní přesvědčení, mi zabraňuje sloužit takovým lidem, jako je premiér, takže nezlobte se, paní redaktorko, k této otázce – no comment.
Dobře, zeptám se na něco jiného. Dalo se útoku vůbec předejít? A mohl premiérův tým zjistit, že e-mailová schránka je „přístupná“ dejme tomu delší dobu a hackeři jen o sobě nedávali vědět a sbírali novou a novou poštu?
Tak především, nezahlédl jsem v médiích informaci o tom, zda do svého freemailu přistupoval pan Sobotka ze služebního notebooku nebo ze soukromého. A jestli do něj přistupoval z domova nebo odněkud z kaváren, případně z vládních budov. V případě, že by na freemail přistupoval z vládních budov a pomocí služebního notebooku, pak by jeho IT tým mohl zaregistrovat, že vstupuje na freemail Seznamu. Jenže tato komunikace je už od počátku šifrována pomocí klasického HTTPS://. Tudíž vyjma speciálních metod útoku typu man-in-middle je neodposlouchávatelná a fakticky že se připojuje na nějaký freemail, by stejně mohli vyhodnotit, jako že má nějaký svůj mailbox, kde si soukromě koresponduje s přáteli.
Jiří Paroubek v textu na ParlamentníchListech.cz právě uvedl, že "heslo ´Bohouš´ jistě nebylo prolomeno poprvé" – že si možná v jeho poště dávno četl kdekdo…
Prakticky vzato ano a myslím, že se národ může postupem času dozvědět ještě další pikantnosti, které na svůj národ vládní představitelé připravují. Víte, kdyby věci fungovaly tak nějak v normálu a zvolení vládní činitelé placení námi občany pracovali v zájmu nás, občanů, tedy činili to, proč je volíme a proč jim dáváme takovou moc, tak bych asi bez pochyby šmírování e-mailů premiéra odsoudil. Jenže situace je úplně jiná, z hackerů se samozřejmě propagandou budou dělat vyvrhelové, kteří ohrožují prostého občana. Ovšem skutečnost je taková, že tito technicky sofistikovaní lidé budou spíše na straně prostého občana nežli naopak. Tito lidé jsou především technickými nadšenci a volnomyšlenkáři a převážně stojí na straně proti systému.
Piráti uvedli: „Ukázalo se, že premiér této země neovládá ani úplné základy bezpečnosti v prostředí internetu. V normálních firmách jsou zaměstnanci a management obvykle IT manažery poučeni o zásadách informační bezpečnosti v organizaci. Otázkou je, zda školení IT bezpečnosti na Úřadu vlády bylo a jestli na něm premiér nechyběl.“ S tím asi nelze než souhlasit? Zvlášť vy, když jste pracoval například pro velkou těžební společnost, někdejší Mosteckou uhelnou, s několika tisíci zaměstnanců…
Piráti vědí, co říkají. Bingo! Není, co dodat. Předně coby specialista v oblasti IT bezpečnosti a osoba působící v tomto sektoru jsem vázán přísnou mlčenlivostí vůči organizacím, kde jsem působil. Tudíž spekulativně bych k věci řekl, že bych se nedivil, kdyby vyplavalo na povrch, že zajištění IT bezpečnosti tak, jak je má zajištěno kupříkladu MUS, je na nesrovnatelně vyšší úrovni, než jak to má zajištěno vláda. Zejména pak úroveň gramotnosti i řadových zaměstnanců organizace.
Kromě technologických aspektů na pozadí, školení zaměstnanců je třeba také v této věci pracovat i se sociálním inženýringem. Já osobně jsem při zajišťování IT bezpečnosti zkoušel zaměstnance organizací telefonáty typu „Tady Vopička, IT, co píšete, prosím vás, do toho pole password?“… A následně bylo třeba neustále a neustále v přátelské atmosféře zaměstnance – laiky vůči IT – upozorňovat a přiblížit jim lidsky podstatu možných nebezpečí a ohrožení. Digitální svět je pro „normálního“ člověka z 99 procent nepředstavitelný vesmír. Toto je třeba brát v potaz a platí to jak pro paní u autováhy, tak pro předsedu vlády.
Použil jste před chvílí termín „vnitřní etika“ a k tomu jsem se chtěla rovněž dostat. Co z tohoto pohledu – dodržování etických norem – obecně říkáte na aktivitu této konkrétní hackerské skupiny, která korespondenci zveřejnila? Co vlastně vede hackery k tomu, aby dělali to, co dělají? Znamená to, že je zajímá politika, když vlezou do pošty premiéra, nebo se to podle vás děje na něčí objednávku stejně jako některé průzkumy veřejného mínění? Jde o záměr vydírání?
Kdyby tato hackerská skupina vyluxovala poštovní schránku třeba nějaké pop star nebo tak nějak a kompromitovala ji například lechtivými fotografiemi, které by v takové poštovní schránce nalezla, tak bych si nad nimi přinejmenším odplivl. V tuto chvíli, prosím, paní redaktorko, nechť se etická stránka věci nestane prostředkem k odvedení pozornosti od závažnosti a zrůdnosti toho, co za našimi zády pan premiér proti nám řeší. Nebyla vyluxována poštovní schránka popové hvězdy a zveřejněny lechtivé snímky, nýbrž byl odhalen záměr vlastizrady premiéra své země.
Když byl pan premiér schopen řešit přes freemail de facto zrůdný koncept vlastizrady, lze jen spekulovat, co vše v jeho freemailu ještě mohli hackeři najít. Je třeba si uvědomit, že jsme prakticky na pokraji třetí světové války a že naše vládní garnitura na nás opravdu chystá moc velké zlo a je tu situace, kdy jsme ohroženi my a naše ratolesti, a tudíž z hlediska vyššího principu mravního… Toť můj názor.
Co se týče etického pozadí věci, už jsem se vyjádřil v rámci předchozích otázek. Lidé, kteří disponují know-how na úrovni geeka, potažmo efektivního hackera, bývají dost často volnomyšlenkáři se schopností při takové náloži na mozek, jakým technologie v tomto levelu jsou, velice rychle pochopit, která bije. A budou proto spíše tíhnout k prostým občanům a půjdou proti systému, který nám, ve své podstatě prostým lidem, spíše škodí.
To mi připomíná například již starší případ, kdy se u nás hackeři dostali na web Exekutorské komory z důvodu, že prý „exekutoři zabavují majetek nevinným občanům. Osobní údaje účastníků exekučních řízení však odcizeny nebyly“.
Ano, zveřejnit údaje o prostých lidech, navíc trpících pod nějakou zlovůlí, to snad jaksi ani nadstandardně pracující mozek špičkového experta v oblasti informatiky nemůže dovolit.
Nepřekvapuje vás nízká úroveň technologických zabezpečení v době, kdy na výzkum, informační bezpečnost (různé analýzy a studie IT bezpečnosti) a technologie jdou miliony včetně těch z evropských fondů?
Technologická opatření a koncepce chování na internetu – neřekl bych, že jsou na nízké úrovni. Problém je spíše v paradoxu, kdy čím více počítačů mezi lidmi, tím větší počítačová negramotnost. V tom je problém.
Premiér 5. ledna prohlásil: „Opakovanými útoky hackerů na moji osobu se nenechám jakkoli zastrašit.“ Jak byste na to zareagoval...?
Kontroval bych mu: „Jinými slovy nám tedy, pane premiére, chcete říct, že ať se děje, co se děje, budete pokračovat ve svých vlastizrádných aktivitách proti občanům této republiky?“
Vy si tedy myslíte, že hackerství může být politice, potažmo míru prospěšné? Například útoky na Islámský stát? Nebo vzpomeňme aktivity hnutí Anonymous...
Já myslím, že vše bylo řečeno. Vysoký stupeň IT dovedností je zbraň. Zbraň se dá použít k obraně mé rodiny, zbraní může zločinec zabít nevinného člověka. Hackerství je technologická dovednost velmi vysokého intelektuálního stupně, nic víc. Nic to neříká o člověku jako takovém.
Psali jsme:
O tom, že válku lze vést právě přes technologie, nikoli jen pomocí tanků, se již mluví delší dobu. Na co se máme připravit?
Aniž to lidé tuší, celosvětová válka už nějaký pátek probíhá. Po celém světě. Je možné najít weby monitorující kupříkladu kumulované DDOS útoky…
A na co se máme připravit? Především nezanedbávat bez ohledu na to, čím se zabýváme, počítačovou gramotnost. Protože na šmírování počítačově negramotného člověka není třeba dojít do stadia know-how hackera. To zvládne a udělá právě jen trochu gramotnější jiný člověk, který umí použít Google a zjistit kupříkladu, co je to rootkit a jak ho k někomu, koho chce dostat, dopravit. Za tyto šmíráky je někdy díky neznalosti problematiky substituován terminus technicus hacker. Ne, takový člověk není hacker, je to šmírák. Je třeba věci vždy nazývat pravými jmény.
Není nízké zabezpečení e-mailových schránek také špatnou reklamou pro provozovatele Seznamu (aby se například báli všichni ostatní, kdo si s premiérem psali), nebo to s tím nesouvisí?
Zabezpečení freemailů, myslím si, v současnosti není na špatné úrovni. Freemail od Seznamu je jednoduchý na zaregistrování a používání. A mně osobně je příjemné, že nedělá nějaké šílené restrikce. Tady problém není. Mezi námi, heslo např. bohous123 je heslo slovníkovým útokem už nepravděpodobné k prolomení, ovšem lidé kolem White Media pouze operovali s inteligencí pana premiéra a bingo – nemýlili se, když zkusili podobně jednoduché heslo a byli tam.
Přestože jsme vás oslovili, abyste poskytl komentář kauzy z hlediska IT oboru, z vašich odpovědí je zjevné, že sledujete i obsahovou stránku premiérových e-mailů, potažmo důvody hackerů a dopad konání premiéra na život občanů. Chtěl byste tedy na závěr něco sdělit i k obsahu toho, co je v „odtajněné“ korespondenci řečeno?
Pokud bych pominul obsah těchto e-mailů a toho, co z nich vyšlo na povrch, pomíjel bych podstatu celé věci… Ještě že naši amorální politici jsou co do informatiky takto negramotní, jelikož chudák slušný občan, daňový plátce, který žije v neustálém stresu, jak uživit rodinu, by ani neměl tušení, jaká zvěrstva na něj politici připravují. A zcela za sebe osobně předesílám, nechť mají politici panickou hrůzu z hackerů a nemají nejmenší tušení, co všechno kde můžou „vyšťourat“ z lumpáren, které na prostého občana připravují. Vždyť přece kupříkladu aktuální import naprosto nekompatibilních lidí do naší společnosti je přímý útok na holý život občana. Nevím proč, ale vždy si v této souvislosti vzpomenu, byť nejde o přímou paralelu, na film Vyšší princip a památnou větu pana profesora. Tudíž nechť naši mocipáni vědí, že v dnešní informační době tu jsou občané, kteří v jistém úhlu pohledu mají daleko větší moc; minimálně co se týče možností „prokouknout“ a ukázat lidem, jaké lumpárny na ně kují.
Psali jsme:
Jste politik? Zveřejněte bez redakčních úprav vše, co chcete. Zaregistrujte se ZDE.
Jste čtenář a chcete komunikovat se svými zastupiteli? Zaregistrujte se ZDE.
